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PROCEDE DE SECURISATION D'UN OU PLUS1EURS ENSEMBLES 
ELECTRONIQUES METTANT EN CEUVRE UN MEME ALGORITHME 
CRYPTOGRAPHIQUE AVEC CLE SECRETE. UNE UTILISATION DU 
PROCEDE ET L'ENSEMBLE ELECTRONIQUE 

5 

La presente invention concerne un proced6 de securisation d'un ou 
plusieurs ensembles electroniques mettant en oeuvre un meme algorithme 
cryptographique avec cle secrete, une utilisation du procede et Pensemble 
electronique. Plus precisement, le procede vise a faire dependre d'une 

10 donnee secrete la maniere dont le calcul sera effectue, cette donnee 
pouvant etre differente selon T ensemble electronique qui intervient ou selon 
la cle secrete qui est utilisee. L'objectif est de permettre aux ensembles 
electroniques de ne pas etre vulnerables face a un certain type d'attaques 
physiques dites "Differential Key Differential Power Analysis", en abrege 

15 DKDPA qui cherchent a obtenir des informations sur une cle secrete a partir 
de T etude de la consommation electrique du (ou des) ensemble(s) 
electronique(s) sur plusieurs executions du calcul avec des cles secretes 
differentes, dont au moins une est connue de I'attaquant (par exemple s'il a 
eu pour au moins un de ces calculs la possibility de fixer lui-meme la cle 

20 secrete). 

Les algorithmes cryptographiques consideres ici utilisent une cle 
secrete pour calculer une information de sortie en fonction d'une information 
d'entree ; il peut s'agir d'une operation de chiffrement, de dechiffrement ou 
de signature ou de verification de signature, ou d'authentification ou de non- 
25 repudiation, lis sont construits de maniere a ce qu'un attaquant, connaissant 
les entrees et les sorties, ne puisse en pratique deduire aucune information 
sur la cle secrete elle-meme. 

On s'interesse done a une classe plus large que celle 
traditionnellement designee par I' expression algorithmes a cle secrete ou 
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algorithmes symetriques. En particuiier, tout ce qui est decrit dans la 
presente demande de brevet s'applique egalement aux algorithmes dits a 
cle publique ou algorithmes asymetriques, qui comportent en fait deux cles : 
Tune publique, et i'autre secrete, cette derniere etant celle vis6e par les 
5 attaques d§crites ci-dessous. 

Les attaques de type Analyse de Puissance Electrique, Power 
Analysis en langage anglo-saxon, developp6es par Paul Kocher et 
Cryptographic Research (Confer document Introduction to Differential Power 
Analysis and Related Attacks by Paul Kocher, Joshua Jaffe, and Benjamin 
10 Jun, Cryptography Research, 870 Market St., Suite 1008, San Francisco, CA 
94102, edition du document HTML a I'adresse URL : 

http://www.cryptography.com/dpa/technical/index.html, 

introduit dans la presente demande a titre de reference), partent de la 
constatation qu'en realite I'attaquant peut acquerir des informations, autres 
15 que la simple donnee des entrees et des sorties, lors de r execution du 
calcul, comme, par exemple, la consommation electrique du microcontroleur 
ou le rayonnement electromagnetique emis par le circuit. 

L'analyse d'energie electrique differentielle, Differential Power 
Analysis en langage anglo-saxon, en abrege DPA, est une attaque 
20 permettant d'obtenir des informations sur la cle secrete contenue dans 
I' ensemble electronique, en effectuant une analyse statistique des 
enregistrements de consommation electrique effectues sur un grand nombre 
de calculs avec cette meme cle. 

On considere, a titre d f exemple non limitatif, le cas de Talgorithme 
25 DES (Data Encryption Standard), dont on p_e.ut trouver une description dans 
Tun des documents suivants : 

FIPS PUB 46-2, Data Encryption Standard, 1994 ; 




FIPS PUB 74, Guidelines for Implementing and Using the NBS Data 
Encryption Standard, 1981 ; 

ANSI X3.92, American National Standard, Data Encryption 
Algorithm, 1981 ; 

5 ISO/lEC 8731:1987, Banking - Approved Algorithms for Message 

Authentication - Part 1 : Data Encryption Algorithm (DEA). 

ou encore dans Touvrage suivant : 

Bruce Schneier, Applied Cryptography, 2eme edition, John Wiley & 
Sons, 1996, page 270. 

io Les documents precites sont introduits dans la presente demande a 

titre de reference. 

L'algorithme DES se deroule en 16 etapes appelees tours, 
representes figure 2A. Dans chacun des 16 tours, une transformation F est 
effectuee sur 32 bits (Rj), qui dans le premier tour constituent la moitie (R 0 ) 

15 du message d'entree (E). Dans chacun des tours, une partie (Ri) formee de 
32 bits de I' information a crypter est combinee dans la fonction F avec une 
partie (Kj) formee de 32 bits de la cle secrete de cryptage (Ks). Cette 
fonction F met en oeuvre a chaque tour huit transformations non lineaires de 
6 bits sur 4 bits, notees (fig.1b2b) S v S 2 , S 8 , qui sont codees, memorisees 

20 chacune dans une table de codage appelee boTte S. Ces huit boTtes S sont 
identiques pour toutes les cartes ou pour tous les ensembles 6lectroniques. 
Seule la cle de cryptage change d'une carte a I'autre ou d'un ensemble 
electronique a T autre. Chaque boTte S est un tableau a 64 (2 6 ) lignes de 
quatre colonnes de 1 bit. Bien evidernment ces tables peuvent etre 

25 afrangees differemment en memoire pour permettre des gains de place. 

Par construction de Talgorithme DES, on constate figure 2B que les 
transformations qu'effectue la fonction F sur ('information de 32 bits 
constituant (Rj) peuvent toujours entrer dans Tune des categories suivantes : 



- permutation des bits de Rj ; puis expansion a 48 bits de Rj, pour 
obtenir T information Rj' ; 

- OU-exclusif de R,' avec une variable K { dependant uniquement de 
la cle ou d'une sous-cle ; pour obtenir un resultat R" sur 48 bits ; 

- transformation non lineaire de R" par application sur chaque 
portion de 6 bits constituant Rj" d'une boite S differente ; 

- permutation dite P (cette permutation est d6finie et imposee par le 
standard DES) sur les 32 bits sortant de I'ensemble constitue par les huit 
boTtes S, (S, a S 8 ) ; 

Le resultat obtenu par 1'application de la fonction F est combine dans 
un OU-exclusif avec soit les 32 autres bits du message, soit les 32 bits du 
resultat fourni a I'etape i-2, de fagon a respecter la relation Rj = R«©F(Ri_ 1f 
Ki) figure 2A. 

L'attaque de type DPA sur le DES peut etre mise en oeuvre sur le 
DES de la maniere suivante : 

1ere etape : On fait des mesures de consommation sur le premier 
tour, ceci pour 1000 calculs de DES. On note E[1], .... E[1000] les valeurs 

d' en tree de ces 1000 calculs. On note C[1] C[1000] les 1000 courbes 

correspondantes de consommation electrique mesurees lors de ces calculs. 
On calcule egalement la courbe moyenne CM des 1000 courbes de 
consommation. 

2eme etape : On s f interesse f par exemple, au premier bit de sortie 
de la premiere boTte S lors du premier tour. Notons b la valeur de ce bit. II 
est facile de voir que b ne depend que de 6 bits de la cle secrete. 
L'attaquant fait une hypothese sur les 6 bits concernes. II calcule, a partir de 
ces 6 bits et des E[i], les valeurs theoriques attendues pour b. Cela permet 
de separer les 1000 entrees E[1], E[1000] en deux categories : celles qui 
donnent b=0 et celles qui donnent b=1. 




3erne etape : On calcule maintenant la moyenne CM' des courbes 
correspondant a des entrees de la premiere categorie, c'est-a-dire pour 
lesquelles b=0. Si CM et CM' presentent une difference notable, on 
considere que les valeurs retenues pour les 6 bits de cle etaient les bonnes. 
5 Si CM et CM 1 ne presentent pas de difference sensible, au sens statistique, 
c'est-a-dire pas de difference nettement superieure a I'ecart type du bruit 
mesure, on recommence la 2eme etape avec un autre choix pour les 6 bits. 

4eme etape : On repete les etapes 2 et 3 avec un bit cible b issu de 
la deuxieme boTte S, puis de la troisieme boTte S, jusqu'a la huitieme 
10 boTte S. On obtient done finalement 48 bits de la cle secrete. 

5erne etape : Les 8 bits restants peuvent etre trouves par recherche 
exhaustive. 

Cette attaque ne necessite aucune connaissance sur la 
consommation electrique individuelle de chaque instruction, ni sur la position 
15 dans le temps de chacune de ces instructions. Elle s'applique de la meme 
maniere si on suppose que Pattaquant connaTt des sorties de Talgorithme et 
les courbes de consommation correspondantes. Elle repose uniquement sur 
I'hypothese fondamentale selon laquelle : 

Hypothese fondamentale : il existe une variable intermediate, 
20 apparaissant dans le cours du calcul de Talgorithme, telle que la 
connaissance de quelques bits de cle, en pratique moins de 32 bits, permet 
de decider si deux entrees, respectivement deux sorties, donnent ou non la 
meme valeur pour cette variable. 

Tous les algorithmes utilisant des boTtes S, tels le DES, sont 
25 potentiellement vulnerables a la DPA, car les modes de realisation usuels 
restent en general dans le cadre de I'hypothese mentionnee ci-dessus. 

Les attaques dites par analyse d'energie electrique de haut niveau, 
High-Order Differential Power Analysis en langage anglo-saxon, en abrege 
HO-DPA, sont une generalisation de I'attaque DPA decrite precedemment. 



Elles peuvent utiliser plusieurs sources d' information differentes, outre la 
consommation elles peuvent mettre en jeu les mesures de rayonnement 
electromagnetique, de temperature, etc. et mettre en oeuvre des traitements 
statistiques plus sophistiques que la simple notion de moyenne, des 
variables intermediaires (generalisant le bit b defini ci-dessus) moins 
6lementaires. Neanmoins, elles reposent exactement sur la meme 
hypothese fondamentale que la DPA. 

Une solution, pour supprimer les risques d'attaques DPA ou HO- 
DPA, consiste, pour un processus de calcul cryptographique avec cle 
secrete Ks, a modifier le mode de realisation cle I'algorithme, de maniere que 
I' hypothese fondamentale precitee ne soit plus v6rifiee, aucune variable 
intermediaire calculee ne dependant plus de la connaissance d'un sous- 
ensemble aisement accessible de la cle secrete. 

Dans ce but, premierement le processus de calcul cryptographique 
est separe dans I'ensemble electronique en plusieurs parties de processus 
de calcul PPC^ a PPC k (fig.3) distinctes conduites parallelement, puis 
deuxiemement la valeur finale V correspondant a celle obtenue par le calcul 
cryptographique en Tabsence de separation, est reconstitu§e dans 
rensemble electronique a partir des resultats partiels intermediaires v1 a vk 
obtenus par la mise en oeuvre des parties de processus de calcul distinctes 
PPC^ a PPC k precitees. 

Cette separation est realis6e par Talgorithme de calcul modifie qui 
remplace chaque variable v intermediaire, intervenant dans le cours du 
calcul et dependant des donnees d'entree (ou de sortie), par k variables v„ 
v 2 , v k , telles que v lf v 2 , et v k permettent, au besoin, de reconstituer v. 
Plus precisement, cela "signifie qu'il existe une fonction f permettant de 
determiner v, tel que v=f(v 1f v 2 , .... v k ) et que la separation mise en ceuvre par 
ralgorithme modifie satisfait cette fonction. On suppose en outre que f 
satisfait, de preference, la premiere condition suivante : 



Condition n°1 : Soit i un indice compris (au sens large) entre 1 et k. 
La connaissance d'une valeur v ne permet jamais en pratique de deduire 
des informations sur Tensemble des valeurs vi telles qu'il existe un (k-1)- 
uplet (v lf v M , v i+1 , .... v k ) satisfaisant I'equation f(v, v k )=v ; 

On fait alors une « traduction » de I'algorithme en remplagant 
chaque variable intermediaire V dependant des donnees d'entr6e (ou de 
sortie) par les k variables v lf v 2) ... , v k . 

Pour garantir la securite maximale de Talgorithme modifie sous sa 
nouvelle forme, on impose la condition supplemental suivante (condition 
n°2) sur la fonction f : 

Condition n°2 : La fonction f est telle que les transformations a 
effectuer sur v 1f v 2 , ou v k au cours du calcul, a la place des 
transformations effectuees habituellement sur v, peuvent etre implementees 
sans avoir a recalculer v. 

Reprenons Texemple de I'algorithme DES. Une mise en oeuvre 
concrete de la methode decrite ci-dessus consiste a construire Talgorithme 
de calcul modifie DES M pour qu'il separe chaque variable v intermediaire, 
intervenant dans le cours du calcul et dependant des donnees d'entree ou 
de sortie, en, par exemple, deux variables et v 2 , c'est-a-dire que Ton prend 
k=2. On considere la fonction f(v 1t v 2 )= v = v 1 e v 2 de r exemple n°1 ci- 
dessus, qui satisfait par construction la condition n°1. Par construction de 
I'algorithme DES, on constate facilement que les transformations qu'il 
effectue sur v peuvent toujours entrer dans Tune des cinq categories 
suivantes : 

- permutation des bits de v ; 

- expansion des bits de v ; 

- OU-exclusif de v avec une autre variable v' du meme type ; 
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- OU-exclusif de v avec une variable c dependant uniquement de la 
cle ou d'une sous-cle ; 

- transformation non lineaire de v par une boTte S. 

Les deux premieres categories correspondent a des transformations 
lineaires sur les bits de la variable v. Pour celles-ci, la condition n°2 est done 
tres facile a verifier et il suffit, a la place de la transformation effectuee 
habituellement sur v, d'effectuer la permutation ou I' expansion sur v 1f puis 
sur v 2l et la relation f(v 1f v 2 )= v qui etait vraie avant la transformation reste 
vraie egalement apres. 

De meme, dans le troisieme cas, il suffit de remplacer le calcul v" = 
v @ v' par celui de v'\ = v, @ v', et de v" 2 = v 2 ® v' 2 . Les relations f(v 1t 
v et f(v' u \z'J= v' donnent bien f(v" 1f v"J= v", et la condition n°2 est encore 
verifiee. 

En ce qui concerne le OU-exclusif de v avec une variable c 
dependant uniquement de la cle ou d'une sous-cle, la condition n°2 est aussi 
tres facile S satisfaire : il suffit de remplacer le calcul 6e v @c par v 1 ® c, ou 
v 2 ®c % ce qui assure la condition n°2. 

Enfin, a la place de la transformation non-lineaire de Tart anterieur 
v'=S(v) donnee, representee figure 4A et realisee sous la forme d'une boTte 
S, qui, dans cet exemple, admet des entrees de 6 bits et donne des sorties 
de 4 bits, I'ensemble electronique realise la transformation 
(v , 1 l v , 2)=S , (v1,v2) dans une variante de realisation au moyen de deux 
nouvelles boTtes S, chacune pouvant avoir la forme d'un tableau cette fois 
de 12 bits sur 4 bits. Pour garantir regaliteftv'l, v*2)= v', il suffit de choisir : 

(v' 1r v'J = S'(v 1t = (A(v 1f vj, Sty,® ® A(v 1t vj) 

e'est-a-dire v\ =A(v 1t et v' 2 = Sfamvj ® A(v 1t 

ou A designe une transformation aleatoire et secrete de 12 bits vers 4 bits. 
La premiere (nouvelle) boTte S (S\ fig.4b) correspond a la table de la 



transformation (v 1f v 2 ) ->A(v 1f v 2 ) qui a (v v v 2 ) associe A(v n , v 2 ) et la seconde 
(nouvelle) boTte S (S 2 ) correspond a la table de la transformation (v u 
S(V t @ © A(v 1t vj qui a (v 1f v 2 ) associe SfaSvJ @A(v 1t v 2 ). La presence 
de la fonction aleatoire A permet de garantir la condition n°1. L' utilisation de 
tables permet par ailleurs d'eviter d'avoir a calculer v n ©v 2 et, par la, permet 
de satisfaire la condition n°2. 

Les tables de transformation ou de conversion peuvent etre 
memorisees dans une memoire ROM de la carte a microcalculateur lorsque 
I'ensemble electronique est constitue par une carte a microcalculateur. 

Ainsi, pour une etape de calcul du type transformation non lineaire 
mise en oeuvre par un processus de calcul cryptographique classique tel que 
le DES, la separation, ainsi que represents en figure 4C, peut etre effectuee 
en k parties. Par rapport a un processus de calcul cryptographique classique 
utilisant des transformations non lineaires de m bits sur n bits, decrites par 
des tables de conversion dans lesquelles les n bits de sortie de la 
transformation sont lus a une adresse fonction des m bits d'entree, 
I'algorithme de calcul cryptographique modifie DES M remplace chaque 
transformation non lineaire de m bits sur n bits du processus de calcul 
cryptographique classique appliquee a une variable intermediaire de m bits 
jouant le role de variable d f entree E, en I'absence de separation, par une 
pluralite k de transformations non lineaires partielles de km bits sur n bits 
appliquees chacune a une variable intermediaire partielle de Tensemble k 
des variables intermediaires partielles a v k de m bits. Selon un aspect 
particulierement remarquable du precede objet de Tinvention, cette 
transformation non lineaire partielle est decrite et realisee par k tables de 
conversion partielle dans lesquelles chacun des n bits de sortie de chaque 
table constitue, respectivement la variable v\ ,la variable v' 2 ....... la variable 

v' k de la transformation et sont lus a une adresse fonction d'un des k groupes 
des km bits d'entree. 
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Dans I'exemple du DES precite et en relation avec la figure 4C, on 
indique que k=2, n=4 et m=6. 

Selon une premiere variante, pour des raisons d'encombrement de 
la ROM, on peut tout a fait utiliser la meme fonction al6atoire A pour 
5 chacune des huit boTtes S de la description classique du DES, ce qui permet 
de n' avoir que neuf nouvelles boTtes S a stacker au lieu de seize. 

Une deuxieme variante, appelee variante n°2 f sera d6crite en liaison 
avec la figure 4D. 

Afin de reduire la taille cle la ROM necessaire pour stacker les boTtes 
10 S, on peut, a la place de chaque transformation non-lineaire v'=S(v) de 
I' implementation initiale donnee sous la forme d'une boite S (qui dans 
I'exemple du DES admet des entrees de 6 bits et donne des sorties de 4 
bits), egalement utiliser la methode suivante qui realise dans cette deuxieme 
variante, la transformation (v , 1f v , 2 )=S , (v 1 ,v 2 ) au moyen de deux boTtes S, (S^; 
15 S' 2 ) contenant chacune une table de 6 bits sur 4 bits. La mise en oeuvre 
initiale du calcul de v'=S(v) est remplacee dans I'algorithme modifie par les 
deux calculs successifs suivants : 

qui utilise une fonction <p bijective et secrete de 6 bits sur 6 bits, et 

20 • (V 19 V'J = S'(V 19 = (A(VJ, S(<p 1 (Va)) e A(Va) ) 

c'est-a-dire v'1 = A(v0), v'2 = S(<p 1 (vJ) © A(v 0 

ou A designe une transformation aleatoire et secrete de 6 bits vers 4 bits. La 
premiere (nouvelle) boite S (referencee sur la figure 4D) correspond a la 
table de Ja-transformation v 0 A(Vq) qui a vO associe A(v0) et la seconde 
25 (nouvelle) boTte S (referencee S* 2 sur la figure 4D) correspond a la table de 
la transformation v 0 -> S(<p 1 (Vq)) @ A(Vq) qui a vO associe S(<p 1 (vJ) @ A(Vq). 
Par construction, on a toujours Tegalite 1(y 9 u v' 2 )= v\ La presence de la 
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fonction aleatoire A permet de garantir la condition n°1. Utilisation de tables 
permet d'eviter d' avoir a calculer^ 1 (VJ- v t © v 2 . 

Sur la figure 4E, on a represents une etape de calcul 
correspondante, de type transformation non lineaire mise en oeuvre dans le 
cadre du processus de calcul cryptographique classique comme le DES, tel 
que modifie conformement au procede objet de Finvention selon la variante 
n°2. Outre la separation en k parties appliquee a la variable d'entree E, pour 
les transformations non lineaires de m bits sur n bits, decrites par des tables 
de conversion dans lesquelles les n bits de sortie sont lus a une adresse 
fonction des rn bits d'entree, le processus de calcul cryptographique est 
modifie en rempla9ant chaque transformation non Iin6aire de m bits sur n 
bits appliquee a une variable intermediate de m bits, jouant le role de 
variable d'entree E, du processus de calcul classique par une transformation 
non lineaire partielle de km bits sur kn bits appliquee sur I'ensemble k des 
variables intermediaires partielles v1 a vk de m bits. Cette transformation 
non lineaire partielle est decrite et realisee par k tables de conversion de km 
bits par n bits, chacune des entrees des tables de conversion recevant une 
valeur obtenue par application d'une fonction bijective secrete <pj a la fonction 
f(v u vj des variables intermediaires partielles suivant la relation <pj of(v 1t 
vj, avec j e [1,k]. L'application precitee pjoffv,, vj est effectuee par 
evaluation directe d'une valeur resultante, laquelle, appliquee a Tentree de la 
table de conversion correspondante 1 a k, permet de lire n bits de sortie de 
la transformation v', ou v' 2 ou ...v'k a une adresse qui est fonction de ces m 
bits d'entree. 

De meme que dans le premier exemple precite, et en relation avec la 
Tigure 4E, on indique que pour la variante n°2, k=2, m=6 et n=4. 

En outre, dans une version simplifi6e, les fonctions bijectives a <p k 
sont identiques. 
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Pour que la condition n°2 soit satisfaite, il reste a choisir la 
transformation bijective <p ou des fonctions bijectives q> % a <p k de telle sorte 
que le calcul de v 0 =^(V t © puisse se faire sans avoir a recalculer v,® v 2 . 
Deux exemples de choix pour la fonction <p sont donnes ci-apres : 

Exemple 1 : Line biiection a> lineaire 

On choisit pour <p une fonction lineaire secrete et bijective de 6 bits 
sur 6 bits. Dans le cadre d'un tel choix, on considere I'ensemble des valeurs 
sur 6 bits comme un espace vectoriel de dimension 6 sur le corps fini F 2 a 
deux elements. En pratique, choisir <p revient a choisir une matrice aleatoire 
et inversible de taille 6x6 dont les coefficients valent 0 ou 1 . Avec ce choix 
de <p, il est facile de voir que la condition n°2 est satisfaite. En effet, pour 
calculer <p(V,© vg B il suffit de calculer <z>(V f ;, puis tpfvj, et enfin de calculer le 
"OU-exclusif ' des deux resultats obtenus. 

^110 10 0^ 
110 10 1 



Par exemple, la matrice 



est inversible. II lui 



0 110 10 
1110 10 
0 11110 
1^0 0 1 1 0 I J 

correspond la bijection lineaire <p de 6 bits sur 6 bits definie par : 

u 3 @u s , u,@u 2 ®Uz@Us , u 2 ®u 3 ®u 4 eu s , U 3 @U 4 @ UfJ 

Si on note v,=(V u , v 12 , v 13 , v 14 , v 15 , v 16 ) et v 2 =(v 21 , v 22 , v Z3 y v 24 , 
v 25 , v 2 J, pour calculer ?>(V,0 vj, on calcule successivement : 

• (tfvj^v^ @ v 1t2 0 v 1t4 , v 1t1 e v 1t2 Q v 1t4 & v 1t6 , v 1t2 e v 1t3 e v 15 , v 1t1 
e v 12 Q v 1i3 ® v 1t5 , v 1t2 e v h3 e v h4 @ v 15 , v 1t3 e v 1t4 @ v 1t J ; 

• <p(v2)=(v 2i1 e v 22 & v 24 , v 21 e v 2r2 e v 24 e v 2 6 , v 2 2 @ v 2t3 e v 25 , 
v 2t1 e v Z2 ® v 23 e v 2 5 , v 22 0 v 23 e v 2 4 e v 2 5 , v 23 e v 2 4 e v 2 6 ). 
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Puis on calcule le "OU-exclusif des deux resultats obtenus. 
Exemple 2 : Une bijection <p quadratique 

On choisit pour <p une fonction quadratique secrete et bijective de 6 
bits sur 6 bits. Le terme "quadratique" signifie ici que chaque bit de valeur de 
sortie de la fonction 9 est donne par une fonction polynomiale de degre deux 
des 6 bits d'entree, qui sont identifies a 6 elements du corps fini F 2 . En 
pratique, on peut choisir la fonction 9 definie par la formule^M=f(sM 5 , ou s 
est une application lineaire secrete et bijective de (F 2 ) 6 sur L, t est une 
application lineaire secrete et bijective de L sur (F 2 ) 6 . et ou L designe une 
extension algebrique de degre 6 du corps fini F2. Le caractere bijectif de 
cette fonction 9 resulte du fait que a ->a5 est une bijection sur I' extension L 
(dont I' inverse est b -» b38). Pour etablir que la condition n°2 est encore 
satisfaite, il suffrt de remarquer que Ton peut ecrire : 

<p(v,e vj = itfv,, v,) B ys(v 1t & iy(v 2 , vj 0 y^v 2 , v 2 ) 

ou la fonction irfx, y)=t(s(x) 4 - s(y)). 

Par exemple, si on identifie L a F2[X]/(X 6 +X+1), et si on prend s et t 
de matrices respectives 



(\ 1 0 

1 1 

0 1 

1 1 1 
0 1 1 



1 0 0^ 
0 10 1 
10 10 

0 1 0 

1 1 0 



0 0 1 1 0 lj 



et 



(0 1 0 0 1 1 N 
110 10 0 
10 10 11 
0 1110 0 
10 10 10 
0 0 10 11 



par rapport a la base (1, X, X2, X3, X4, X5) de L sur F2 et a la base 
canonique de (F 2 ) 6 sur F2, on obtient la bijection quadratique 9 de 6 bits sur 
6 bits suivante : 

< p(u 1 ,U 2 ,U 3 ,U 4l U 5 , Ue)- 

(U 2 U S © UjUj @u 4 @u 6 @ u 6 u 2 ® u 4 u 6 @u 2 @u 5 <£>u 3 ® u 4 u 3 , 



0^ 



u z u 5 0 U 5 U, 0 u,u 4 0U 4 0U 6 0 U 4 U 5 0u 2 0u 3 0 U 3 U 1 , 

u 2 u s 0 u 5 u, 0 u 6 u 5 0 u,u 4 0 u 3 u 5 011,0 u 4 u 6 0 u 6 u 3 0 u 4 u 3 0 i/ 3 u f , 

u,u 4 0 U 2 U 3 0 U 6 U, 0 U 4 U 6 0u s 0 U 6 U 3 0 U 4 U 3 , 

U 5 U, 0 U,U 4 0U 6 0 U 3 U S 0 U 4 U 5 0U, 0 tV 6 U f 0 U 4 U 6 0u 3 0 U 6 U 3 0 U 4 U 2 , 
U 4 0U 6 0 U 3 U 5 0U, 0 U 4 U 6 0 UgUa). 

Pour calculer qxy^ vj, on utilise la fonction y/fx, y)=t(s(x) 4 - s(y)) de 
12 bits sur 6 bits, qui donne les 6 bits de sortie en fonction des 12 bits 
d' entree selon les regies suivantes : 

wfx, ,x 2 ,x 3 ,x 4 ,x s ,x 6 ,y 1 ,y 2 ,y 3 ,y 4 ,y 5 , yj= 

(x& B 0 X&2 0 x^y 3 0 Xey 4 0 xy, 0 x^y, 0 x,y 3 0 x,y 5 0 x& 2 0 x& 5 0 
0 x& 6 0 x,y 6 0 x,y 2 0 x,y 4 0 xy, 0 x# 2 0 x 4 y 4 0 x^ 0 x^ 0 x 4 y 3 0 
x& 3 , 

x 4 y s 0 Xay, 0 Xey, 0 xtfs 0 x^, 0 x&g 0 x,y 6 0 x,y 2 0 x^, 0 x^ 0 
x<y, 0x 4 y 4 0x# 3 , 

x<y 2 0 Xey 3 0 Xey 4 0 x& 5 0 xy, 0 Xg/, 0 x^ 0 X&, 0 x,y 6 0 x,y, 0 
x,y 2 0 x,y 4 0 Xjy, 0 x# 4 0 x 4 y 2 0 x^ 0 x& 4 0 x^/ 3 , 

Xjy, 0 Xgy 2 0 Xa/e 0 x<y 3 0 x& 4 0 x^y 6 0 x& 3 0 x# 3 0 x<y 6 0 x& 5 0 
x,y 3 0Xsy 5 0x# 4 0x 4 y 2 0x 4 y s 0x 3 y t 0x 4 y 3 0X&, 0x 4 y, , 

x&e 0X&S 0x,y 3 0x# 4 0x& 3 0x 4 y 5 0x 2 y s &X&, 0x 4 y, 0x& 4 0X&2 , 

Xey 6 0x# 4 0 x& 4 0x<y 6 0x& 3 0x,y 6 0x,y, 0x 1 y 2 0x 2 y 1 0 x& 5 0 
x# 4 0 x 4 y 2 0 XJs 0 Xa/s 0 Xey, 0 XeyJ. 

En utilisant ces formules, on calcule successivement : 

• ¥iv„ vj ; 

• v4v» ; 
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Puis on calcule le "OU-exclusif des quatre resultats obtenus. 

Dans une troisieme variante, toujours pour reduire ia taille ROM 
necessaire pour stacker les boTtes S, on peut enfin appliquer simultanement 
les idees des deux variantes precedentes, variante n°1 et variante n°2 : on 
utilise la variante 2, avec la meme bijection secrete cp (de 6 bits vers 6 bits) et 
la meme fonction aleatoire secrete A (de 6 bits vers 6 bits) dans la nouvelle 
implementation de chaque transformation non-lineaire donnee sous la forme 
d'une boTte S. 

L'inconvenient de la solution decrite precedemment pour parer aux 
attaques DPA est qu'elle est vulnerable a une attaque DKDPA 

U utilisation de la methode de securisation decrite ci-dessus permet 
de rendre inoperantes les attaques DPA ou HO-DPA. Neanmoins, le 
nouveau mode de realisation de Talgorithme cryptographique avec cle 
secrete peut etre vulnerable a une autre attaque que nous appelons dans la 
suite Differential Key and Differential Power Analysis en langage anglo- 
saxon, en abrege DKDPA, alors que I'attaque DPA classique echoue. Nous 
decrivons maintenant le principe general de cette attaque. 

On suppose que Tattaquant possede un petit nombre d'ensembles 
electroniques, pour chacun desquels il connaTt la cle secrete de Talgorithme 
cryptographique qu'it met en oeuvre. Pour chaque ensemble electronique, 
bien qull connaisse deja la cle secrete, il applique I'attaque DPA, 
exactement comme s'il ne connaissait pas la cle secrete. En suivant le 
principe decrit precedemment, il fait une hypothese sur 6 bits de la cle et, 
pour chaque choix de ces 6 bits, il obtient 64 courbes representant des 
differences de courbes moyennes de consommation. 




Pour certains modes de realisation de Talgorithme, il est alors 
possible que la DPA montre des phenomenes inhabituels pour certains choix 
de ces 6 bits de cle (c'est-a-dire des pics ou des creux inhabituels pour Tune 
des 64 courbes). Bien sur, ce choix particulier des 6 bits de cle ne 
5 correspond pas a la vraie cle, mais le « OU-exclusif » entre ces 6 bits 
(notons les K') et les 6 bits correspondents de la vraie cle (notons les K) se 
trouvent souvent etre une constante C, c'est-a-dire que Ton a toujours : 
K©K'=C, pour chaque ensemble electronique dont Tattaquant connaTt la cle 
secrete. 

io Si c'est bien le cas, I'attaquant peut alors facilement trouver les bits 

d'une vraie cle inconnue : il applique Tattaque DPA standard, puis note les 
choix particuliers K' des 6 bits qui donnent une courbe inhabituelle, et enfin 
en deduit K en calculant K=K' ©C.ouCa ete obtenu precedemment. 

Un des buts de I'invention est de remedier a cette vulnerability aux 
15 attaques DKDPA des ensembles electroniques. 

Une etude plus precise montre que les attaques de type DKDPA 
decrites ci-dessus sont rendues possibles par le fait que le mode de 
realisation du processus de calcul cryptographique mis en oeuvre par le ou 
les ensembles electroniques est toujours le meme, quel que soit Telement 
20 electronique mis en jeu et quelle que soit la cle secrete utilisee par le 
processus cryptographique. 

Le procede, objet de la pr^sente invention, a pour objet la 
suppression des risques d'attaques DKDPA d'ensembles ou systemes 
electroniques utilisant un processus de calcul cryptographique avec cle 
25 secrete. 

Le procede de securisation d'un ou plusieurs ensembles 
electroniques mettant en oeuvre un processus de calcul cryptographique 
avec cle secrete de cryptage, objet de la presente invention, est 
remarquable en ce que le mode de realisation du processus de calcul 
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cryptographique avec cle secrete de cryptage est dependant d'une donnee 
secrete. 

Selon une autre particularity, pour chaque ensemble electronique et 
pour chaque cle secrete, la fagon d'utiliser ladite donnee secrete, pour 
mener ledit calcul cryptographique, est publique. 

Selon une autre particularite, les donnees secretes utilisees par 
lesdits ensembles electroniques sont au moins au nombre de deux. 

Selon une autre particularite, chacun des ensembles electroniques 
contient au moins une donnee secrete propre. 

Un autre objet de la presente invention est en consequence une 
maniere de realiser le calcul cryptographique qui puisse facilement etre 
rendue differente d'un ensemble electronique a I'autre ou bien, pour un 
meme ensemble electronique, lors de ('utilisation d'une cle secrete ou d'une 
autre. 

Ce but est atteint par le fait que dans chacun des ensembles 
electroniques, lesdites donnees secretes, correspondant aux differentes cles 
secretes utilisees par cet ensemble electronique, sont au moins au nombre 
de deux. 

Selon une autre particularite dans chacun des ensembles 
electroniques, a chaque cle secrete utilisee par ledit calcul cryptographique 
correspond une donnee secrete propre. 

Selon une autre particularite, le procede met en ceuvre un processus 
de calcul cryptographique utilisant des transformations non lineaires de km 
bits sur kn bits d6crites par k tables de conversion de km bits sur n bits dans 
lesquelles n bits de sortie de la transformation sont lus a une adresse 
fonction des km bits d'entree, est caracterise en ce que, pour chacune de 
ces transformations non lineaires, les k dites tables font partie de la donnee 
secrete. 
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Selon une autre particularity le procede de securisation d'un ou 
plusieurs ensembles electroniques met en oeuvre un processus de calcul 
cryptographique utilisant des transformations non lineaires de km bits sur kn 
bits decrites par k tables de conversion de km bits sur n bits dans lesquelles 

5 n bits de sortie de la transformation sont lus a une adresse obtenue par 
application d'une fonction bijective secrete a une valeur de m bits, elle- 
m §me obtenue par application d'une fonction publique des km bits d' entree 
de la transformation non lineaire, caracterise en ce que, pour chacune de 
ces transformations non lineaires, les k tables font partie de la donnee 

10 secrete. 

Selon une autre particularite, pour chacune des transformations non 
lineaires, la fonction bijective secrete fait aussi partie de la donnee secrete. 

Selon une autre particularity, la donnee secrete est stockee dans la 
memoire E 2 PROM de la dite carte a microcalculateur. 

15 Selon une autre particularite un programme de calcul de tables de 

conversion est memorise dans chaque ensemble 6lectronique et declenche 
par un evenement determine pour calculer les tables et realiser la 
memorisation de tout ou partie de ces tables dans la donnee secrete. 

Selon une autre particularite I'evenement determine est le 
20 depassement par un compteur d'une valeur determinee. 

Un autre but de invention est une utilisation de ce proced6. 

Ce but est atteint par le fait que le proc§de est utilise pour la 
securisation de processus de calcul cryptographique supporte par les 
algorithmes DES, Triple DES et RSA. 
25 Un dernier buf est la definition d'un ou plusieurs ensembles 

electroniques qui resistent aux attaques DPA et DKDPA. 

Ce but est atteint par le fait que I'ensemble electronique permettant 
la mise en oeuvre du procede de securisation comportant des moyens de 
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memorisation cTun algorithme cryptographique modifie respectant les phases 
de calcul de Talgorithme cryptographique classique, et utilisant une cle 
secrete de cryptage contenue dans une zone secrete de moyens de 
memorisation, des moyens d'executer cet algorithme cryptographique 
modifie, est caracterise en ce que I'ensemble electronique comporte des 
premiers moyens secrets de remplacer chaque variable intermediate 
necessaire aux phases de calcul de ('algorithme classique en une pluralite 
(k) de variables intermediaires partielles et des seconds moyens d'appliquer 
a chacune de ces variables intermediaires partielles une table de 
transformation non lineaire et des troisiemes moyens secrets de reconstituer 
le resultat final correspondant a I'utilisation de I'algorithme de cryptage 
classique a partir des resultats obtenus sur les variables partielles. 

Selon une autre particularite, la donnee secrete de I'ensemble 
electronique comporte au moins une premiere variable aleatoire 
constituant au moins une variable partielle secrete, Talgorithme modifie 
determine au moins une autre variable partielle, par exemple v 2 par 
T application d'une premiere fonction secrete sur la variable intermediate v et 
la ou les variables partielles secretes v., 

Selon une autre particularite, Talgorithme modifie applique les 
transformations non lineaires aux variables partielles v t et v 2 par utilisation 
des tables dont au moins une A formee par tirage aleatoire, est memorisee 
dans la donnee secrete Ds, les autres tables necessaires aux calculs 
pouvant etre memorisees dans la memoire non volatile, les differents tours 
de calcul de Talgorithme classique sont effectues en mettant en oeuvre a 
chaque fois les tables sur les variables partielles et au dernier tour 
r algorithme calcule le resultat par combinaison des variables partielles selon 
une seconde fonction secrete. 

Selon une autre particularite, les premiers moyens secrets de 
Talgorithme modifie sont constitues par une fonction f, liant les variables 
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intermediaires partielles et chaque intermediate (v), telle que la 
connaissance d'une valeur de cette variable intermediate ne permet jamais 
de deduire I'ensemble des valeurs particulieres partielles v,telles qu'il existe 
un (k-l)-uplet (v 1r v h1 , v; +f , ... v/J satisfaisant a I'equation f(v u v is vj 
5 = v. 

Selon une autre particularite, les seconds moyens de Talgorithme 
modifie sont constitues de k tables de conversion partielles et parmi les k 
tables de conversion partielle, /c-7 tables de conversion partielle contiennent 
des variables aleatoires secretes 

10 Selon une autre particularite les seconds moyens de I'algorithme 

modifie comportent k tables de conversion, chacune de ces tables de 
conversion recevant comme entree une valeur obtenue par application d'une 
fonction bijective secrete <p, a ladite fonction f(v 1f ... f v k ) des variables 
intermediaires partielles selon la relation (pjOf(v 1f ...,v k ), j e [1,k], cette 

is application <pj o T(v 1f ... f v k ) etant effectu6e par evaluation directe d'une valeur 
resultante, cette valeur resultante, appliquee a I'entr6e de la table de 
conversion, permettant de lire n bits de sortie de la transformation a une 
adresse qui est fonction de ces m bits d'entree. 

Selon une autre particularite, les seconds moyens de Talgorithme 
20 modifie remplacent chaque transformation non lineaire appliquee a une 
variable intermediate du processus de calcul cryptographique classique, en 
I'absence de separation, par une transformation non lineaire partielle de km 
bits sur kn bits appliquee sur Pensemble des variables intermediaires 
partielles, (k-1)n desdits bits de sortie de cette transformation etant calcules 
25 comme fonction polynomiale des km bits d'entree et les n bits restants 
desdits bits de sortie etant obtenus par lecture d'une table de conversion 
dans laquelle les n bits restants sont lus a une adresse qui est fonction des 
km bits d'entree 
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Selon une autre particularite, les operations effectuees par 
ralgorithme modifie dans les differentes parties issues de la separation du 
processus de calcul cryptographique en plusieurs parties de processus de 
calcul distinctes sont executees sequentiellement. 

Selon une autre particularite, les operations effectuees dans les 
differentes parties issues de la separation du processus de calcul 
cryptographique en plusieurs parties de processus de calcul distinctes sont 
executees de fagon imbriquee. 

Selon une autre particularite, les operations effectuees dans les 
differentes parties issues de la separation du processus de calcul 
cryptographique en plusieurs parties de processus de calcul distinctes sont 
executees de fagon simultanee dans le cas de la multiprogrammation. 

Selon une autre particularite, les operations effectu6es dans les 
differentes parties issues de la separation du processus de calcul 
cryptographique en plusieurs parties de processus de calcul distinctes sont 
executees simultanement dans des processeurs differents travaillant en 
parallele. 

Selon une autre particularite Pensemble electronique comprend un 
programme de calcul de tables de conversion memorise dans chaque 
ensemble electronique et des moyens de declencher par un evenement 
determine le calcul des tables et de realiser la memorisation de tout ou partie 
de ces tables dans la donnee secrete. 

Selon une autre particularite un compteur memorise une valeur 
incrementee a chaque calcul cryptographique pour constituer I'evenement 
determine de d6clenchement du calcul des tables, lors du depassement 
d'une valeur determinee. 

D'autres particularites et avantages de la presente invention seront 
mieux compris a la lecture de la description faite en reference aux dessins ci- 
apres dans lesquels : 




- la figure 1 represente un ensemble electronique dans lequel 
I'algorithme de cryptage modifie est utilise selon le procede de I'invention ; 

- les figures 2A et 2B represented schematiquement le processus 
de chiffrement/ dechiffrement DES ( "Data Encryption System" en langage 

5 anglo-saxon) de Tart anterieur ; 

- la figure 3 represente un organigramnne general illustratif d'un 
procede de partition selon une precedente invention ; 

- la figure 4A represente, de maniere illustrative, un mode de mise 
en oeuvre du procede de Tart anterieur dans un algorithme de cryptage DES 

10 classique ; 

- la figure 4B represente un organigramme d'une mise en oeuvre 
particuliere d'un processus de calcul cryptographique modifi6 tel que le 
DES M selon une precedente invention; 

• la figure 4C represente une variante de mise en oeuvre d'un 
15 procede tel qu'illustre en figure 3 ; 

- la figure 4D represente une variante de mise en oeuvre d'un 
procede tel qu'illustre en figure 4b ; 

- la figure 4E represente une autre mise en oeuvre particuliere d'un 
procede d'une precedente invention, a partir d'une transformation bijective 

20 secrete, appliquee a une transformation non lineaire utilisee dans un 
processus de calcul cryptographique modifie tel que le DES M ; 

- la figure 4F represente un ensemble electronique dans lequel 
ralgorithme de cryptage classique de Tart anterieur est mis en oeuvre. 

L' invention sera decrite ci-apres en liaison avec la figure 1 et en la 
25 comparant a la realisation de Tart anterieur representee a la figure 4F. 

Un ensemble electronique peut etre constitue d'un module 
electronique securitaire implante dans un dispositif plus vaste, tel que, par 
exemple, un serveur ou un terminal. Cet ensemble electronique peut etre 




constitue d'un ou plusieurs circuits integres incorpores dans le dispositif plus 
vaste ou encore d'une carte a puce denommee generalement « smart card » 
lorsqu'elle comporte un microprocesseur ou microcontroleur connecte au 
dispositif plus vaste par un connecteur a contact ou sans contact. Un 

5 algorithme de cryptage classique tel que, par exemple, le DES peut etre 
installe dans la memoire non volatile, par exemple, de type ROM (7) de 
Tensemble electronique (1). Le microprocesseur (2) de cet ensemble 
electronique (1) execute cet algorithme en lisant, par le bus (4) le reliant aux 
differentes memoires, les instructions contenues dans la memoire morte (7) 

10 pour effectuer les etapes du procede de cryptage decrit en relation aux 
figures 2A et 2B en combinant la cle secrete (Ks) de cryptage contenue dans 
une zone secrete (60) d'une memoire non volatile de I'ensemble 
electronique, par exemple, programmable (6) de type E 2 PROM, avec les 
informations E a crypter qui sont, par exemple, memorisees 

15 momentanement dans une memoire volatile (5), par exemple, de type RAM. 
Le microprocesseur associ§ dans un seul circuit integr6 a ses memoires 
RAM, ROM, E 2 PROM constitue ce que Ton nomme un microcontroleur ou 
microcalculateur. Le microprocesseur dialogue avec le dispositif plus vaste a 
travers un circuit d'entree-sortie (3) et aucun acces a la zone declaree 

20 secrete (60) de la memoire non volatile n'est autorise par un circuit autre que 
le microprocesseur (2). Lui seul peut lire la cle( Ks) et I'utiliser conformement 
au procede de cryptage classique decrit a I'aide des figures 2A et 2B pour 
produire le message crypte Mc=DES(E,Ks). 

L' invention consiste a modifier I' algorithme de mise en oeuvre du 
25 cryptage pour constituer un algorithme modifie (DES M ) qui respecte les 
memes phases que le processus de calcul de Talgorithme classique (DES). 
Ainsi, dans le cas du DES, Talgorithme modifie effectue une separation du 
processus de calcul cryptographique du DES classique en plusieurs parties 
de processus de calcul distinctes conduites parallelement et mettant en 
30 oeuvre des resultats partiels intermediates (appeles variables partielles) 
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distincts de ceux du calcul cryptographique classique et cette separation est 
effectuee par utilisation de donnees secretes (Ds) contenues dans la zone 
secrete (60) de memoire (6) de Tensemble electronique (1). Cet algorithme 
modifie produit un resultat Mc par reconstitution de la valeur finale a partir 

5 des resultats partiels intermediates, tel que Mc=DES M (E ) Ks J Ds)=DES(E,Ks) > 
egal au resultat qui aurait ete obtenu par ralgorithme classique. On 
remarquera que les ensembles electroniques ainsi obtenus sont entterement 
compatibles avec ceux ayant un cryptage classique (ci-apres denomm6s 
ensembles classiques) et peuvent done etre utilises a la place des 

io ensembles classiques que dans les applications ou endroits ou les 
ensembles classiques risqueraient d'etre exposes a une attaque, sans avoir 
besoin de changer ceux qui sont dans des locaux securis6s. 

Cet algorithme modifie comporte des moyens secrets de remplacer 
chaque variable intermediate de ralgorithme classique en plusieurs 

is variables intermediates partielles et des moyens d'appliquer a chacune de 
ces variables intermediates partielles une table de transformation non 
lineaire et des moyens secrets de reconstituer le r6sultat final correspondant 
a r utilisation de ralgorithme de cryptage classique a partir des resultats 
obtenus sur les variables partielles. Ainsi, comme un fraudeur ne connaitra 

20 plus la relation entre les variables partielles et le resultat final, il ne sera plus 
en mesure de decouvrir la cle secrete de cryptage (Ks) par une attaque 
DPA. 

Par exemple, dans le cas de la methode de securisation de 
ralgorithme DES decrite plus haut, on fait d6pendre le mode de realisation 
25 du processus de calcul cryptographique modifie de la donnee des k tables 
de conversion utilisees pour le calcul de chaque transformation non lineaire 
de km bits sur kn bits. Ces k tables constituent la donnee secrete (Ds). En 
outre, dans le cas des variantes 2 et 3, on fait egalement dependre le mode 
de realisation du processus de calcul cryptographique de la donnee des 
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applications bijectives secretes <p 1t <p 2 , q> k faisant egalement partie de la 
donnee secrete. 

Ainsi, ralgorithme modifie fera appel, dans les phases de calcul ou 
cela s'avere necessaire, a la fonction bijective secrete contenue dans la 
donnee secrete (Ds) et dans d'autres phases de calcul aux tables de 
conversion egalement contenues dans la donnee secrete. 

Dans le cas de I'exemple de 1'algorithme DES decrit ci-dessus, la 
fa?on d'utiliser cette donnee secrete est publique. 

II est bien evident que I' invention a ete illustree dans le cas de 
ralgorithme de cryptage denomme DES, mais le meme principe et le meme 
procede peuvent etre mis en oeuvre avec tout autre procede de cryptage 
connu, tel que le triple DES ou encore le RSA. 

Afin de rendre inoperantes les attaques de type DKDPA sur le ou les 
ensembles electroniques, il faut en outre choisir une donnee secrete (Ds) qui 
ne soit pas toujours la meme d'un ensemble electronique a Tautre ou lors de 
I' utilisation d'une cle secrete ou d'une autre. Pour cette raison, il est 
preferable de la mettre dans une memoire programmable de fagon a pouvoir 
la changer facilement d'un ensemble electronique a I'autre. Dans Texemple 
du DES ci-dessus, on constate qu'il est facile de choisir une nouvelle valeur 
pour la donnee secrete parmi les k tables de conversion utilisees pour le 
calcul de chaque transformation non lineaire de km bits sur kn bits, on peut, 
par exemple, choisir (k-1) tables de maniere aleatoire, puis deduire la kerne 
table par un calcul simple. Dans le cas des variantes n°2 et n°3, on peut de 
meme choisir (k-1) tables aleatoirement et les applications bijectives 
secretes <p^ <p 2 , <p k egalement aleatoirement, puis en deduire la kerne 
table, toujours par un calcul simple. 

Dans ce cas ou le ou les ensembles electroniques sont une ou des 
cartes a microcalculateurs, la donnee secrete (Ds), dont depend le mode de 
realisation du processus cryptographique avec cle secrete, peut etre stockee 
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dans la memoire E 2 PROM (6). Cela permet de la modifier d'une carte a 
I'autre, lors du processus de personnalisation de la carte, au cours duquel 
sont en general introduites une ou plusieurs cles secretes dans la memoire 
E 2 PROM de ladite carte. On peut egalement modifier cette donnee secrete 
5 inscrite dans la m6moire E 2 PROM, si Ton est amene a changer une ou 
plusieurs des cles secretes contenues dans la carte. 

Dans la version la plus forte de I' invention, la donnee secrete 
depend a la fois de la carte a microcalculateur consid6ree, et de la cle 
secrete utilisee par le processus de calcul cryptographique. Par exemple, la 

10 donnee secrete est choisie aleatoirement a chaque fois que Ton introduit une 
cle secrete dans une carte. Cela aboutit en fait a introduire a chaque fois un 
couple (cle secrete Ks, donnee secrete Ds) dans la memoire E 2 PROM de la 
carte a microcalculateur, au lieu d'introduire seulement la cle secrete. Dans 
une variante de realisation de I' invention donnee a titre d'exemple illustratif 

15 mais non limitatif, la donnee secrete comporte au moins une premiere 
variable aleatoire constituant au moins une variable partielle secrete, 
Talgorithme modifie determine au moins une autre variable partielle, par 
exemple v 2 par I'application d'une fonction secrete sur la variable 
intermediate v et la ou les variables partielles secretes v v Cette fonction 

20 secrete peut, par exemple, etre un OU-exclusif tel que : 

v 2 =v,® v. 

L'algorithme modifie applique les transformations non lineaires aux 
variables partielles v1 et v2 par utilisation des tables dont au moins une A, 
formee par tirage al6atoire, est memorisee dans la donnee secrete Ds, les 
25 autres tables necessaires aux calculs pouvant etre memorisees dans la 
memoire non volatile. Les~differents tours de calcul de Talgorithme classique 
sont effectues en mettant en ceuvre a chaque fois les tables sur les variables 
partielles et au dernier tour I'algorithme calcule le resultat par combinaison 
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des variables partielles selon une seconde fonction secrete qui peut etre 
T inverse de la precedente. 

Toutes les variantes decrites en references aux figures 3 a 4F font 
egalement partie de Tinvention en incorporant un ou plusieurs des elements 
intervenant dans la modification de I'algorithme, dans la donnee secrete 
contenue en memoire non volatile programmable (6). Les elements qui 
interviennent dans la modification de Talgorithme sont soit la fonction secrete 
f, soit des tables de conversion partielles, soit une table de conversion 
secrete aleatoire A associee par un calcul a d'autres tables de conversion 
contenues dans une partie non secrete de memoire programmable (6) ou 
non (7), soit une fonction polynomiale et une ou plusieurs tables de 
conversion, soit une fonction bijective secrete <p et une transformation 
aleatoire secrete A, soit encore une fonction quadratique secrete. 

Dans une autre variante de realisation de I'invention, le programme 
de calcul des boTtes S ou tables de conversion, present normalement sur les 
machines de personnalisations, pourra etre telecharg6 ou inscrit en phase 
de pre-personnalisation dans la zone secrete (61) de la memoire (6) non 
volatile programmable E 2 PROM et declenche en phase de personnalisation 
par un ordre venant de I'exterieur, executable une fois seulement en phase 
de personnalisation. Une fois I'ordre execute le programme de calcul soit 
positionne un verrou en memoire non-volatile interdisant I'acces a ce 
programme sans la presentation d'une cle specifique, soit dans une autre 
realisation declenche I'auto effacement de cette zone secrete (61). Cette 
variante permet de mettre en ceuvre I'invention meme avec des machines de 
personnalisation non modifiees. Le calcul des boTtes S ou tables de 
conversion se fera en respectant les principes enonces plus haut et en 
utilisant comme diversifiant une information propre a la carte en cours de 
personnalisation, telle que le numero de serie de la carte qui avait ete 
enregistre en phase de pre-personnalisation, les valeurs obtenues par ce 
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calcul sont ecrites dans la donnee secrete (60) de la zone secrete de la 
memoire non-volatile (6). 

Dans une autre variante suppl6mentaire la carte comporte un 
compteur supplemental (62) en memoire non-volatile, qui est incr§mente 

5 par Palgorithme DES M , a chaque execution d'un calcul DES par ce dernier. 
Le systeme d'exploitation de la carte est prevu pour comparer le contenu de 
ce compteur a une valeur determinee n & chaque mise sous tension de la 
carte et pour appeler le programme (61) de calcul pour calculer de nouvelles 
boTtes S ou tables de conversion dans le cas ou la valeur n est depass6e. Le 

10 systeme d'exploitation de la carte ou le programme de calcul assure la 
memorisation des boites-S dans la donn6e secrete selon une procedure 
d6finie par le programme de calcul (61) ou le systeme d'exploitation et remet 
a zero le compteur. Par ailleurs Palgorithrne DES M verifie dans cette variante, 
avant d'effectuer un calcul DES que le compteur supplementaire (62) n'a pas 

15 depasse la valeur (n+c) d6terminee augmentee d'une constante, dans 
laquelle c est une constante d6finie. En cas de depassement il conclut a une 
tentative de fraude et provoque une remise a z6ro de la carte 

Enfin il est clair que dans tous les modes de realisation exposes, la 
maniere dont le calcul de cryptage sera conduit dependra de la modification 
20 de I'algorithme DES M qui elle-meme depend des elements contenus dans la 
zone secrete de memoire. 

Toute combinaison des differentes variantes presentees fait 
egalement partie de T invention. 
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REVENDICATIONS 

1. Precede de securisation d'un ou plusieurs ensembles 
electroniques mettant en oeuvre un meme algorithme cryptographique avec 
cle secrete (Ks), caracterise en ce que la maniere de conduire ledit calcul 

5 depend, pour chaque ensemble electronique et pour chaque cle secrete, 
d'une donnee secrete (Ds) stockee dans une zone secrete du ou des 
ensembles electroniques. 

2. Procede de securisation selon la revendication 1, caracterise en 
ce que, pour chaque ensemble electronique et pour chaque cle secrete (Ks), 

10 la fagon d'utiliser ladite donnee secrete (Ds), pour mener ledit calcul 
cryptographique, est publique. 

3. Procede de securisation selon Tune des revendications 
prec6dentes, caracterise en ce que lesdites donnees secretes (Ds) utilisees 
par lesdits ensembles electroniques sont au moins au nombre de deux. 

15 4. Procede de securisation selon la revendication 3, caracterise en 

ce que chacun des ensembles electroniques contient au moins une dite 
donnee secrete (Ds) propre. 

5. Procede de securisation selon Tune des revendications 1 a 4, 
caracterise en ce que, dans chacun des ensembles electroniques, lesdites 

20 donnees secretes (Ds), correspondant aux differentes cles secretes utilisees 
par cet ensemble electronique, sont au moins au nombre de deux. 

6. Procede de securisation selon la revendication 5, caracterise en 
ce que, dans chacun des ensembles electroniques, a chaque cl6 secrete 
(Ks) utilisee par ledit calcul cryptographique correspond une dite donnee 

25 secrete (Ds) propre. 

7. Procede de securisation, selon Tune des revendications 1 a 6, 
d'un ou plusieurs ensembles electroniques mettant en oeuvre un processus 
de calcul cryptographique utilisant des transformations non lineaires de km 
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bits sur kn bits decrites par k tables de conversion dans lesquelles n bits de 
sortie de la transformation sont lus a une adresse fonction des km bits 
d'entree, caracterise en ce que, pour chacune de ces transformations non 
lineaires, les k dites tables font partie de la donn6e secrete (Ds). 

8. Procede de securisation selon Tune des revendications 1 a 6, 
d'un ou plusieurs ensembles electroniques mettant en oeuvre un processus 
de calcul cryptographique utilisant des transformations non lineaires de km 
bits sur kn bits decrites par k tables de conversion dans lesquelles n bits de 
sortie de la transformation sont lus a une adresse obtenue par application 
d'une fonction bijective secrete (9) a une valeur de m bits, elle-meme 
obtenue par application d'une fonction publique des km bits d'entree de la 
transformation non lineaire, caracterise en ce que, pour chacune de ces 
transformations non lineaires, les k dites tables font partie de la donnee 
secrete (Ds). 

9. Procede de securisation selon la revendication 8, caracterise en 
ce que, pour chacune des transformations non lineaires, la fonction bijective 
secrete (cp) fait aussi partie de la donn6e secrete (Ds). 

10. Procede de securisation, selon Tune des revendications 1 a 9, 
d'une ou plusieurs cartes a microcalculateur, caracterise en ce que la 
donnee secrete est stockee dans la memoire E 2 PROM de la dite carte a 
microcalculateur. 

11. Procede de securisation, selon Tune des revendications 1 a 10, 
caracterise en ce que un programme de calcul de tables de conversion est 
memorise dans chaque ensemble electronique et d6clenche par un 
evenement determine pour calculer les tables et realiser la memorisation de 
tout ou partie de ces tables dans la donnee secrete. 

12. Procede de securisation, selon la revendication 11 caracterise en 
ce que Tevenement determine est le depassement par un compteur d'une 
valeur determinee. 
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13. Utilisation du procede selon I'une des revendications 1 a 12, 
pour la securisation de processus de calcul cryptographique supporte par les 
algorithmes DES, Triple DES et RSA. 

14. Ensemble electronique permettant la mise en oeuvre du procede 
5 de securisation comportant des moyens de memorisation d'un algorithme 

cryptographique modifte respectant les phases de calcul de Palgorithme 
cryptographique classique et utilisant une cle secrete de cryptage contenue 
dans une zone secrete de moyens de memorisation, des moyens d'executer 
cet algorithme cryptographique modifie, caracterise en ce que Pensemble 

10 electronique comporte des premiers moyens secrets de remplacer chaque 
variable intermediate necessaire aux phases de calcul de Palgorithme 
classique en une pluralite (k) de variables intermediates partielles et des 
seconds moyens d'appliquer a chacune de ces variables intermediates 
partielles une table de transformation non lineaire et des troisiemes moyens 

is secrets de reconstituer le resultat final correspondant a r utilisation de 
T algorithme de cryptage classique a partir des resultats obtenus sur les 
variables partielles 

15. Ensemble electronique selon la revendication 14, caracterise en 
ce que la donnee secrete comporte au moins une premiere variable aleatoire 

20 constituant au moins une variable partielle secrete, Palgorithme modifie 
determine au moins une autre variable partielle, par exemple v 2 par 
P application d'une premiere fonction secrete sur la variable intermediaire v et 
la ou les variables partielles secretes v 1 

16. Ensemble electronique selon la revendication 15, caracterise en 
25 ce que Palgorithme modifie applique les transformations non lineaires aux 

variables partielles et v 2 par utilisation des tables dont au moins une A 
formee par tirage aleatoire est memorisee dans la donnee secrete Ds, les 
autres tables necessaires aux calculs pouvant etre memorisees dans la 
memoire non volatile, les differents tours de calcul de Palgorithme classique 
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sont effectues en mettant en ceuvre a chaque fois les tables sur les variables 
partielles et au dernier tour ralgorithme calcule le resultat par combinaison 
des variables partielles selon une seconde fonction secrete. 

17. Ensemble electronique selon la revendication 14, caracterise en 
ce que les premiers moyens secrets de ralgorithme modifie sont constitues 
par une fonction f, liant les variables intermediates partielles et chaque 
intermediate telle que la connaissance d'une valeur de cette variable 
intermediaire ne permet jamais de deduire I'ensemble des valeurs 
particulieres partielles v, telles qu'il existe un (k-l)-uplet (v 1t v h1 , v i+1 , ... 
satisfaisant a I'equation f(v u v it vj = v. 

18. Ensemble electronique selon la revendication 14 caracterise en 
ce que les seconds moyens de ralgorithme modifie sont constitues de k 
tables de conversion partielles et parmi les k tables de conversion partielle, 
k-1 tables de conversion partielle contiennent des variables aleatoires 
secretes 

19. Ensemble electronique selon la revendication 18, caracterise en 
ce que les seconds moyens de ralgorithme modifie comportent k tables de 
conversion, chacune de ces tables de conversion recevant comme entree 
une valeur obtenue par application d'une fonction bijective secrete a ladite 
fonction f(v 1t ..., v k ) des variables intermediates partielles selon la relation ^ 
of(v lf ...,v k ), j e [1,k], cette application ^ o f(v 1f ..., v k ) etant effectuee par 
evaluation directe d'une valeur resultante, cette valeur resultante, appliquee 
a Tentree de la table de conversion, permettant de lire n bits de sortie de la 
transformation a une adresse qui est fonction de ces m bits d'entree. 

20. Ensemble electronique selon la revendication 14, caracterise en 
ce que les seconds moyens de ralgorithme modifie remplacent chaque 
transformation non lineaire appliquee a une variable intermediaire du 
processus de calcul cryptographique classique, en Tabsence de separation, 
par une transformation non lineaire partielle de km bits sur kn bits appliquee 
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sur I'ensemble des variables intermediates partielles, (k-1)n desdits bits de 
sortie de cette transformation etant calcules comme fonction polynomiale 
des km bits d'entree et les n bits restants desdits bits de sortie etant obtenus 
par lecture d'une table de conversion dans laquelle les n bits restants sont 
lus a une adresse qui est fonction des km bits d'entree 

21. Ensemble electronique selon une des revendications 14 a 20 
caracterise en ce que les operations effectuees par I'algorithme modifie dans 
les differentes parties issues de la separation du processus de calcul 
cryptographique en plusieurs parties de processus de calcul distinctes sont 
executees sequentiellement. 

22. Ensemble electronique selon une des revendications 14 a 21, 
caracterise en ce que les operations effectuees dans les differentes parties 
issues de la separation du processus de calcul cryptographique en plusieurs 
parties de processus de calcul distinctes sont executees de fa$on imbriquee. 

23. Ensemble electronique selon une des revendications 14 a 22, 
caracterise en ce que les operations effectuees dans les differentes parties 
issues de la separation du processus de calcul cryptographique en plusieurs 
parties de processus de calcul distinctes sont executees de fa?on 
simultanee dans le cas de la multiprogrammation. 

24. Ensemble electronique selon une des revendications 14 a 23, 
caracterise en ce que les operations effectuees dans les differentes parties 
issues de la separation du processus de calcul cryptographique en plusieurs 
parties de processus de calcul distinctes sont executees simultanement 
dans des processeurs differents travaillant en parallele. 

25. Ensemble electronique _selon une des revendications 14 a 24, 
caracterise en ce qu'il comprend un programme de calcul de tables de 
conversion memorise dans chaque ensemble electronique et des moyens de 
declencher par un evenement determine le calcul des tables et de realiser la 
memorisation de tout ou partie de ces tables dans la donnee secrete. 
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26. Ensemble electronique selon une des revendications 14 a 25, 
caracterise en ce qiT un compteur memorise une valeur incrementee a 
chaque calcul cryptographique pour constituer Tevenement determine de 
declenchement du calcul des tables, lors du depassement d'une valeur 
determinee. 
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REVENDICATIONS 

1. Precede de securisation d'un ou plusieurs ensembles 
electroniques mettant en ceuvre un meme algorithme cryptographique avec 
cle secrete (Ks), caracterise en ce que la maniere de conduire ledit calcul 
depend, pour chaque ensemble electronique et pour chaque cle secrete, 
d'une donnee secrete (Ds) stockee dans une zone secrete du ou des 
ensembles electroniques. 

2. Procede de securisation selon la revendication 1, caracterise en 
ce que, pour chaque ensemble electronique et pour chaque cle secrete (Ks), 
la fagon d'utiliser ladite donnee secrete (Ds), pour mener ledit calcul 
cryptographique, est publique. 

3. Procede de securisation selon Tune des revendications 
precedentes, caracterise en ce que lesdites donnees secretes (Ds) utilisees 
par lesdits ensembles electroniques sont au moins au nombre de deux. 

4. Procede de securisation selon la revendication 3, caracterise en 
ce que chacun des ensembles electroniques contient au moins une dite 
donnee secrete (Ds) propre. 

5. Procede de securisation selon Tune des revendications 1 a 4, 
caracterise en ce que, dans chacun des ensembles electroniques, lesdites 
donnees secretes (Ds), correspondent aux differentes cles secretes utilisees 
par cet ensemble electronique, sont au moins au nombre de deux. 

6. Procede de securisation selon la revendication 5, caracterise en 
ce que, dans chacun des ensembles electroniques, a chaque cle secrete 
(Ks) utilisee par ledit calcul cryptographique correspond une dite donnee 
secrete (Ds) propre. 

7. Procede de securisation, selon Tune des revendications 1 a 6, 
d'un ou plusieurs ensembles electroniques mettant en ceuvre un processus 
de calcul cryptographique utilisant des transformations non lineaires de km 
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bits sur kn bits decrites par k tables de conversion dans lesquelles n bits de 
sortie de la transformation sont lus a une adresse fonction des km bits 
d'entree, caracterise en ce que, pour chacune de ces transformations non 
lineaires, les k dites tables font partie de la donnee secrete (Ds). 

8. Procede de securisation selon Tune des revendications 1 a 6, d'un 
ou plusieurs ensembles 6lectroniques mettant en oeuvre un processus de 
calcul cryptographique utilisant des transformations non lineaires de km bits 
sur kn bits decrites par k tables de conversion dans lesquelles n bits de sortie 
de la transformation sont lus a une adresse obtenue par application d'une 
fonction bijective secrete (<p) a une valeur de m bits, elle-meme obtenue par 
application d'une fonction publique des km bits d'entree de la transformation 
non lineaire, caracterise en ce que, pour chacune de ces transformations non 
lineaires, les k dites tables font partie de la donnee secrete (Ds). 

9. Procede de securisation selon la revendication 8, caracterise en 
ce que, pour chacune des transformations non lineaires, la fonction bijective 
secrete (<p) fait aussi partie de la donnee secrete (Ds). 

10. Procede de securisation, selon Tune des revendications 1 a 9, 
d'une ou plusieurs cartes a microcalculateur, caracterise en ce que la 
donnee secrete est stockee dans la memoire E 2 PROM de la dite carte a 
microcalculateur. 

11. Procede de securisation, selon Tune des revendications 1 a 10, 
caracterise en ce que un programme de calcul de tables de conversion est 
memorise dans chaque ensemble electronique et declenche par un 
evenement determine pour calculer les tables et realiser la memorisation de 
tout ou partie de ces tables dans la donnee secrete. 

12. Procede de securisation, se[on la revendication 11 caracterise en 
ce que Tevenement determine est le depassement par un compteur d'une 
valeur determinee. 
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13. Utilisation du precede selon Tune des revendications 1 a 12, pour 
la securisation de processus de calcul cryptographique supporte par les 
algorithmes DES ( Triple DES et RSA. 

14. Ensemble Electronique perrnettant la mise en ceuvre du procede 
de securisation selon une des revendications 1 a 12 comportant des moyens 
de memorisation d'un algorithme cryptographique modifie respectant les 
phases de calcul de Talgorithme cryptographique classique et utilisant une 
cle secrete de cryptage contenue dans une zone secrete de moyens de 
memorisation, des moyens d'executer cet algorithme cryptographique 
modifie, caracterise en ce que Tensemble electronique comporte des 
premiers moyens secrets de remplacer chaque variable intermediaire 
necessaire aux phases de calcul de Talgorithme classique en une pluralite (k) 
de variables intermediaires partielles et des seconds moyens d'appliquer a 
chacune de ces variables intermediaires partielles une table de 
transformation non lineaire et des troisiemes moyens secrets de reconstituer 
le resultat final correspondant a I'utilisation de Talgorithme de cryptage 
classique a partir des resultats obtenus sur les variables partielles 

15. Ensemble electronique selon la revendication 14, caracterise en 
ce qu'une donnee secrete memorisee dans la zone secrete comporte au 
moins une premiere variable aleatoire Vi constituant au moins une variable 
partielle secrete, I'algorithme modifie determine au moins une autre variable 
partielle, par exemple V2, par Tapplication d'une premiere fonction secrete sur 
la variable intermediaire v et la ou les variables partielles secretes v<i 

16. Ensemble electronique selon la revendication 15, caracterise en 
ce que Talgorithme modifie comporte des moyens d'appliquer les 
transformations non lineaires aux variables partielles Vi et V2 par utilisation 
des tables dont au moins une A formee par tirage aleatoire est memorisee 
dans la donnee secrete Ds, les autres tables necessaires aux calculs etant 
memorisees dans une memoire non volatile, des moyens d'effectuer les 
differents tours de calcul de Talgorithme classique en mettant en ceuvre a 
chaque fois les tables sur les variables partielles et des moyens de calculer 
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au dernier tour d'algorithrne le resultat par combinaison des variables 
partielles selon une seconde fonction secrete. 

17. Ensemble electronique selon la revendication 14, caracterise en 
ce que les premiers moyens secrets de I'algorithme modifie sont constitues 
par une fonction f, liant les variables intermediates partielles et chaque 
intermediaire (v), telle que la connaissance d'une valeur de cette variable 
intermediaire ne permet jamais de deduire ('ensemble des valeurs 
particulieres partielles V/telles qu'il existe un (k-l)-uplet (v 1f v t . 1t v^ 1t ...v k ) 
satisfaisant a I'equation f(vi, v it v^) = v. 

18. Ensemble electronique selon la revendication 14 caracterise en 
ce que les seconds moyens de I'algorithme modifie sont constitues de k 
tables de conversion partielles et parmi les k tables de conversion partielle, 
k-1 tables de conversion partielle contiennent des variables aleatoires 
secretes 

19. Ensemble electronique selon la revendication 18, caracterise en 
ce que les seconds moyens de I'algorithme modifie comportent k tables de 
conversion, chacune de ces tables de conversion recevant comme entree 
une valeur obtenue par application d'une fonction bijective secrete <pi a ladite 
fonction f(v 1f ..., v k ) des variables intermediaires partielles selon la relation cpj 
of(vi, ...,v k ), j e[1,k], cette application <pj o f(vi,... f v k ) etant effectuee par 
evaluation directe d'une valeur resultante, cette valeur resultante, appliquee 
a Tentree de la table de conversion, permettant de lire n bits de sortie de la 
transformation a une adresse qui est fonction de ces m bits d'entree. 

20. Ensemble Electronique selon la revendication 14, caracterise en 
ce que les seconds moyens de Talgorithme modifie comportent des moyens 
de remplacer chaque transformation non lineaire appliquee a une variable 
intermediaire du processus de calcul cryptographique classique, en 
('absence de separation, par une transformation non lineaire partielle de km 
bits sur kn bits appliquee sur Tensemble des variables intermediaires 
partielles, des moyens de calculer (k-1)n desdits bits de sortie de cette 
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transformation comme fonction polynomiale des km bits d'entree et des 
moyens de lecture des n bits restants desdits bits de sortie par lecture d'une 
table de conversion dans laqueile les n bits restants sont lus a une adresse 
qui est fonction des km bits d'entree 

21. Ensemble electronique selon une des revendications 14 a 20 
caracterise en ce qu'il comporte des moyens d'execution sequentielle des 
operations effectuees par I'algorithme modifie dans les differentes parties 
issues de la separation du processus de calcul cryptographique en plusieurs 
parties de processus de calcul distincte. 

22. Ensemble electronique selon une des revendications 14 a 21, 
caracterise en ce qu'il comporte des moyens d'execution de fagon imbriquee 
des operations effectuees dans les differentes parties issues de la separation 
du processus de calcul cryptographique en plusieurs parties de processus de 
calcul distinctes. 

23. Ensemble electronique selon une des revendications 14 a 20, 
caracterise en ce qu'il comporte des moyens d'execution simultanee des 
operations effectuees dans les differentes parties issues de la separation du 
processus de calcul cryptographique en plusieurs parties de processus de 
calcul distinctes, dans le cas de la multiprogrammation. 

24. Ensemble electronique selon une des revendications 14 a 20, 
caracterise en ce qu'il comporte des moyens d'execution simultanee dans 
des processeurs differents travaillant en parallele des operations effectuees 
dans les differentes parties issues de la separation du processus de calcul 
cryptographique en plusieurs parties de processus de calcul distinctes. 

25. Ensemble electronique selon une des revendications 14 a 24, 
caracterise en ce qu'il comprend un programme de calcul de tables de 
conversion memorise dans chaque ensemble electronique et des moyens de 
declencher par un evenement determine le calcul des tables et de realiser la 
memorisation de tout ou partie de ces tables dans la donnee secrete. 
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26. Ensemble electronique selon une des revendications 14 a 25, 
caracterise en ce qu* un compteur comporte des moyens de memorisation d' 
une valeur incrementee a chaque calcul cryptographique pour constituer 
Tevenement determine de declenchement par des moyens de 
d6clenchement du calcul des tables, lors du depassement d'une valeur 
determinee. 
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